更新时间:2021-04-26 04:08:58
科技、数码、互联网新闻如今都成为了大众所关注的热点了,因为在我们的生活当中如今已经是处处与这些相关了,不论是手机也好,电脑也好,又或者是智能手表也好,与之都相关,那么今天小编也是为大家来推荐一篇关于互联网科技数码方向的文章,希望大家会喜欢哦。
谷歌上个月修补了一个安卓漏洞,黑客可以通过一个鲜为人知的android操作系统功能NFC来将恶意软件传播到附近的手机上。
NFC波束通过一个名为AndroidBeam的内部Android操作系统服务来工作。这项服务允许Android设备使用NFC(近场通信)无线电波将图像、文件、视频甚至应用程序等数据发送到附近的另一个设备,作为WiFi或蓝牙的替代方案。
通常,通过NFC发送的应用程序(APK文件)被存储在磁盘上,并且在屏幕上显示了通知。该通知询问设备所有者是否希望允许NFC服务从unknown源安装应用程序。
但是,今年1月,一位名叫Y.Shafrovich的安全研究员发现,通过NFC在Android 8(奥利奥)或更高版本上发送的应用程序不会显示这一提示。相反,通知将允许用户在没有任何安全警告的情况下用一个点击安装应用程序。
虽然缺少一个提示听起来并不重要,但这是Android安全模型中的一个主要问题。Android设备不允许安装来自“未知来源”的应用程序--因为在官方Play Store之外安装的任何东西都被认为是不可信和未经验证的。
如果用户希望从PlayStore外部安装应用程序,则必须访问其Android操作系统的"从unknown源安装应用程序"部分,并启用此功能。
在Android8之前,此"从unknown源安装"选项是一个全系统设置,适用于所有应用。但是,从Android8开始,谷歌重新设计了这个机制成为一个基于应用程序的设置。
在现代Android版本中,用户可以访问Android的安全设置中的"安装unknown应用程序",并允许特定的应用程序安装其他应用程序。例如,在下图中,Chrome和DropboxAndroid应用程序被允许安装类似于PlayStore应用程序的应用程序,而不会被阻止。
CVE-2019-2114Bug存在于AndroidBeam应用程序也是白名单的事实,接收与官方PlayStore应用程序相同的信任级别。
谷歌表示,这并不意味着发生这种情况,因为AndroidBeam服务从来不是安装应用程序的方式,而仅仅是将数据从设备传输到设备的一种方式。
2019年10月的Android补丁从可信资源的操作系统白名单中删除了AndroidBeam服务。
然而,数百万用户仍然面临风险。如果用户拥有NFC服务并启用了AndroidBeam服务,则附近的攻击者可以在其电话上安装恶意软件(恶意应用程序)。
由于从unknown源没有提示安装,因此,轻敲该通知将启动恶意应用程序的安装。存在许多用户可能误解来自PlayStore的消息的危险,并安装该应用程序,认为它是更新。
有好消息也有坏消息。坏消息是,默认情况下,NFC功能是在所有新销售的设备上启用的。许多Android智能手机用户可能甚至不知道NFC现在已经启用了。
好消息是,只有当两个设备在4厘米(1.5英寸)或更小的距离上彼此靠近时,才能启动NFC连接。这意味着攻击者需要将他的手机非常接近受害者的手机,这可能并不总是可能的。
为了安全起见,任何用户都可以禁用NFC功能和AndroidBeam服务。
如果他们使用他们的Android手机作为访问卡,或者作为非接触式支付解决方案,他们可以离开NFC,但禁用AndroidBeam服务--参见下图。这阻止了NFC文件的发送,但仍允许其他NFC操作。
所以没必要惊慌。如果不需要的话,只需禁用AndroidBeam和NFC,或者更新手机以接收2019年10月的安全更新,并继续像往常一样使用NFC和BEAM。
这里有一份关于CVE-2019-2114的技术报告。
鱼子酱展示了可以折叠两次的豪华可折叠iPhoneZ的概念
2018年Q1前十款热销手机出炉 iPhone佔半数
专访华为营运长 5G手机仍照原时程推出不会提前
专访Mate之父 谈华为Mate20系列手机的定位与设计
观点iPhone XS系列售价为什么可以卖这么贵
10月手机销量增温 XS与XR系列囊括热销半数机种
2018手机上市数量有增无减 三星与华为平均每月有新机
HMD策略转向攻线上 Nokia成为网购前五大手机品牌
从阿尔罕布拉宫的回忆谈新一代5G网路技术
Gartner预测手机出货量仍下滑 2023年5G手机市占将过半
5月手机销售量止跌 华为掉出前三大
4G用户有2925万 2019第2季行动通讯用户数微增